Chi tiết kỹ thuật Trojan này download một chương trình khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng máy không hề biết hay cho phép.. Hoạt động Khi trang
Trang 1Trojan-Downloader.JS.Multi.ca
Trang 2Chi tiết kỹ thuật
Trojan này download một chương trình khác thông qua Internet và khởi chạy
nó trên máy tính nạn nhân mà người dùng máy không hề biết hay cho phép
Nó mã hóa Java Script trong một tài liệu HTML Dung lượng của nó là
14147 byte
Hoạt động
Khi trang bị nhiễm độc được mở ra bằng trình duyệt web, người dùng sẽ nhận được một thông báo:
Not Found
The requested URL / was not found on this server
Trojan sau đó giải mã chính bản thân nó và khởi chạy kịch bản mã độc để thực thi Nó sẽ sử dụng các lỗ hổng được liệt kê sau đây:
1 lỗi tràn bộ đệm trong điều khiển ActiveX Live Picture Corporation
DXSurface.LivePicture.FlashPix.1 trong DXTLIPI.DLL khi xử lý
"SourceUrl()" (CVE-2007-4336)
Trang 32 trong plug-in của Windows Media Player khi xử lý một tham số “src” quá dài trong thẻ "embed" (MS06-006) Lỗ hổng này hiện diện khi plug-in được khởi chạy trong các trình duyệt không phải IE
3 Trong đối tượng QuickTime.QuickTime" ActiveX (CVE-2004-0431);
để download một file có tên "ldr.exe" từ URL sau:
http://java62.com/load.php****
File download về này có dung lượng 48640 byte Nó sẽ được phát hiện bởi Kaspersky Anti-Virus như virus Backdoor.Win32.Agent.ich File này sẽ được lưu vào thư mục hệ thống Windows dưới tên:
%System%\~.exe
File này sau đó khởi chạy quá trình thực thi Trojan sẽ sử dụng đối tượng ActiveX "Msxml2.XMLHTTP" và các đối tượng có định danh duy nhất trong
hệ thống:
Trang 4{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
để download một file có tên gọi "ldr.exe" từ đường dẫn sau:
http://java62.com/load.php?MSIE
Nó sử dụng đối tượng ActiveX "ADODB.Stream" để lưu file này dưới tên:
c:\sys.exe
Trang 5và bốn ký tự đằng sau như ví dụ sau:
syskmtz.exe
syskqoq.exe
File được download về sau đó sẽ khởi chạy quá trình thực thi
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các
hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1 Xóa file gốc của Trojan (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân)
2 Xóa các file sau:
%System%\~.exe
c:\sys.exe
Trang 63 Vô hiệu hóa các đối tượng ActiveX bị lỗ hổng
4 Cài đặt các bản vá bảo mật sau:
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
5 Cài đặt phiên bản mới nhất của QuickTime
6 Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính